L7-filter プロジェクトは 15 年になり、カーネルパッチが必要で、2.6 以上のカーネルをサポートしておらず、ほとんどのパターンファイルが 2003 年に作成されたようです。
一般に、プロジェクトが古くて人気が高い場合、新しいプロジェクトはそれを置き換えますが、レイヤ7フィルタリングを実行する最新のLinuxは見つかりません。
私は正しい場所を探していませんか?何らかの理由で、レイヤ7フィルタリングのアイデアは完全に放棄されましたか?最近ではハードウェアがより強力になるので、以前よりも実用的だと思います。
ベストアンサー1
(以前)プロジェクトについて話しています。Linuxアプリケーション層パケット分類子2.4および2.6カーネル用のパッチで実装されました。
このプロジェクトの主な問題は、制御のために提案する技術が実装の実用性と効率を急速に超えていることです。
私が覚えている限り、プロジェクトメンバーは技術の進歩にもっと投資する時間(およびお金)がなく、実装権限を販売してすでに問題のあるプロジェクトを永久に終了しました。
このプロジェクト/技術が長年にわたって直面している課題(特定の順序なし):
- 3.x/4.x カーネルバージョンにパッチを適用します。
- 処理能力の欠如 - 一部の国では、今日の国内ギガビットブロードバンド速度にも効率的なレイヤ7トラフィックを形成するためにASICが必要です。
- BitTorrentは深刻な難読化の使用を開始します。
- 複数のプロトコルをカプセル化したり、検出を避けるために、HTTPS が多用され始めました。
- ピアリングプロトコルは固定ポートの使用を停止し、パスを試み始めます。どのオープン/許可されたポート。
- ユビキタスVoIPとリアルタイムビデオの増加により、トラフィックは小さな時間遅延にも非常に敏感になりました。
- VPN接続の広範な使用。
その後、プロフェッショナルトラフィック形成製品の多くの研究開発が投資されました。
10年前の最先端技術には、暗号化/難読化されたトラフィックを検出するためにすでに特定のASICとヒューリスティック(多くの使用)が含まれていました。
高度な経験的方法の10年以上の経験に加えて、グローバルブロードバンドが発展するにつれて、トラフィック形成(およびファイアウォール)ベンダーは、グローバルデータのP2P共有をリアルタイムで使用してソリューションの効率を高めています。
高度な経験的方法を世界中の何千ものリアルタイム分析/共有データと組み合わせます。
Allot NetEnforcerと同じように効率的に動作するオープンソース製品を構成することは非常に困難です。
オープンソースソリューションを使用すると、インフラストラクチャの帯域幅状態の目的のためにIPアドレスによって使用されるトラフィックの種類/特性に基づいてトラフィックを形成することはもはや一般的ではありません。ネットワークレベルで。
今日の一般的なトラフィック制御とインフラストラクチャの帯域幅容量を保護するために、ファイアウォールに加えて、一般的な戦略は、高度なトラフィック調整ハードウェアを使用せずに帯域幅の小さな部分を各IPアドレスに割り当てることです。